CVE-2026-54326
NiskieCVSS 2.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu Pi (wersje od 0.74.0 do 0.78.1) pozwala na wstrzyknięcie niebezpiecznych adresów URL w eksportowanych plikach HTML. Mechanizm filtrowania schematów URL nie radzi sobie z kontrolnymi znakami C0, które są normalizowane przez przeglądarki przed nawigacją, co umożliwia ominięcie zabezpieczeń.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwych linków lub obrazów w statycznych plikach HTML generowanych przez Pi, co może prowadzić do kradzieży danych, przekierowań na złośliwe strony lub wykonania nieautoryzowanych działań w kontekście przeglądarki ofiary.
Rekomendacja
Należy niezwłocznie zaktualizować Pi do wersji 0.78.1 lub nowszej, która zawiera poprawkę eliminującą podatność. W międzyczasie zaleca się unikanie otwierania wygenerowanych plików HTML w przeglądarkach bez uprzedniej weryfikacji.
Oryginalny opis (angielski, źródło NVD)
Pi is a minimal terminal coding harness. From 0.74.0 until 0.78.1, Pi HTML exports render session Markdown into a static HTML file. It did not consistently reject unsafe Markdown link and image URL schemes. In versions with scheme filtering, C0 control characters in the URL scheme could bypass the check because browsers normalize those characters before navigation. This vulnerability is fixed in 0.78.1.

